Table des matières
Des chercheurs ont révélé que des groupes de cyberespionnage chinois utilisent des réseaux proxy sophistiqués appelés réseaux ORB (Operational Relay Box). Ces réseaux sont constitués d’appareils piratés et de serveurs privés virtuels (VPS) loués. Ils forment une infrastructure complexe et en constante évolution, difficile à suivre.
Réseaux ORB : Différence avec les botnets traditionnels
Les réseaux ORB se distinguent des botnets traditionnels. Ils fonctionnent comme un hybride, combinant des éléments des deux systèmes. Cette combinaison offre aux pirates une couverture supplémentaire, rendant plus difficile la détection par les défenseurs. Mandiant, une entreprise de cybersécurité, a mis en place un cadre pour cartographier ces réseaux, aidant ainsi à identifier les tentatives d’infiltration.
Exemples de réseaux ORB
Un exemple notable de ces réseaux est ORB3, également appelé SPACEHOP. Ce réseau s’associe aux groupes chinois APT5 et APT15. SPACEHOP est utilisé pour des tâches telles que la reconnaissance initiale et l’exploitation de vulnérabilités. Cette utilisation intensive des ORB montre une avancée significative dans les techniques de cyberespionnage chinois.
Masquage de l’origine du trafic
En utilisant les ORB, les groupes APT chinois peuvent dissimuler l’origine de leur trafic malveillant. Cela complique la tâche des défenseurs qui doivent identifier et bloquer la communication entre les attaquants et les réseaux ciblés. Cette technique s’étend également aux dispositifs compromis à la périphérie des réseaux de victimes.
Réseaux ORB : Complexité des efforts d’attribution
Les serveurs opérationnels et les nœuds de relais des ORB sont souvent hébergés dans des espaces IP chinois et hongkongais. Cela rend l’attribution des attaques encore plus difficile. Les défenseurs doivent donc redoubler les efforts pour suivre ces activités.
Difficulté croissante pour les défenseurs
L’utilisation croissante des ORB par les pirates chinois pose de nouveaux défis aux défenseurs. Les méthodes traditionnelles d’identification et de blocage des adresses IP malveillantes deviennent moins efficaces en raison de la nature changeante des réseaux proxy. Il est donc crucial pour les défenseurs d’adopter de nouvelles stratégies.
Nouvelles stratégies de défense contre les Réseaux ORB
L’étude de Mandiant recommande une surveillance accrue du trafic réseau pour détecter les comportements suspects et les flux de communication anormaux, même s’ils proviennent d’adresses IP légitimes. L’accent doit se mettre sur l’analyse comportementale et les flux de renseignements sur les menaces, suivant les indicateurs de compromission (IOC) des ORB.
Conclusion
L’évolution des techniques de cyberespionnage chinois avec l’utilisation des réseaux ORB oblige les défenseurs à adapter leurs stratégies. En surveillant les comportements réseau et en utilisant des renseignements sur les menaces, ils peuvent mieux détecter et perturber ces cyberattaques sophistiquées.
